JS.Crypto Ransomware

JS.Crypto Ransomware è un’infezione molto pericolosa che colpisce i computer con Sistema Operativo Windows. Questa minaccia è stata creata utilizzando NW.js, che è noto per essere un framework su cui sviluppare nuove applicazioni, e significa che JS.Crypto Ransomware è basato su JavaScript. Gli specialisti che lavorano su pcthreat.com sostengono che esiste una piccola possibilità che colpisca anche i sistemi Linux e MacOS X attraverso JavaScript, il che significa che JS.Crypto Ransomware potrebbe iniziare a diffondersi anche tra gli utenti di questi sistemi operativi. A nostro avviso, tutti devono stare attenti a prescindere dal proprio sistema operativo. Questo perché una recente ricerca ha dimostrato che è possibile associarsi a JS.Crypto Ransomware, cioè distribuendolo selezionando delle specifiche opzioni, ad esempio se bloccare o no completamente il computer, se mostrare o no il blocco dello schermo e addirittura scegliendo la somma di Bitcoin da richiedere. I proprietari originali di JS.Crypto Ransomware probabilmente per questo ricevono del denaro. Siamo sicuri che vi renderete conto se JS.Crypto Ransomware riesce ad accedere al sistema, perché non riuscirete ad accedere alla maggior parte dei vostri file. Sfortunatamente, JS.Crypto Ransomware potrebbe crittografare anche i vostri nuovi file, perciò assicuratevi di rimuovere l’infezione dal PC prima di immettervi nuovi file.

È stato notato che JS.Crypto Ransomware blocca centinaia file differenti. Questi file sono principalmente documenti, foto, musica e video, per cui hanno le seguenti estensioni: .jpg, .jpeg, .pmd, .ppsx, .mp3, .mp4, .mpeg, .wmv, .sdf, .mpa, .dot, .docx, .aet, .ppj, .indl, .3gp e altri. All’apparenza probabilmente non cambieranno, ma semplicemente non riuscirete ad aprirli. L’impossibilità di accedere alla maggior parte dei file non è l’unico sintomo che indica che nel computer si è infiltrata un’infezione ransomware. Gli specialisti che lavorano da pcthreat.com sostengono che viene mostrato anche un avviso sullo schermo. Se lo vedete (il tsto del messaggio è quello qui sotto), non c’è alcun dubbio che JS.Crypto Ransomware sia riuscito ad accedere al vostro sistema.

ALL YOUR PERSONAL FILES HAS BEEN ENCRYPTED

All your data (photos, documents, databases, etc) have been encrypted with a private and unique key generated for this computer. This means that you will not be able to access your files anymore until they are decrypted. The private key is stored in our servers and the only way to receive your key to decrypt your files is making a payment.

Come si vede, i cyber criminali cercano di convincere gli utenti a effettuare un pagamento. Danno solo 4 giorni di tempo e dicono che la somma da pagare aumenterà alla loro scadenza. Promettono anche di decodificare un file gratuitamente per dimostrare di essere in grado di decodificarli tutti. Sta a voi scegliere se effettuare o no il pagamento di 0,1 Bitcoin (approssimativamente $35); tuttavia noi raccomandiamo di non farlo se avete una copia di backup dei file (ad esempio su una pennetta USB). Sfortunatamente, al momento non c’è altro modo per accedere nuovamente ai file.

JS.Crypto Ransomware è distribuito come file client.scr. Dato che si tratta di un archivio WinRAR auto estraente, estrarrà immediatamente i file nelle directory %Temp% e %AppData%\Microsoft\Windows\Start Menu\Programs\Startup e aggiungerà uno shortcut all’avvio dopo che un utente ci clicca sopra. È stato notato che JS.Crypto Ransomware aggiunge al sistema i seguenti file:

• chrome – ha all’interno una copia del contratto di licenza GPL.
• chrome.exe – contiene l’effettivo codice del malware.
• ffmpegsumo.dll, nw.pak, locales e icudtl.dat – contiene i dati necessari per il framework NW.js.
• rundll32.exe – contiene una copia del client TOR.
• s.exe – contiene una copia dello shortcut Optimum X.
• g – contiene le informazioni necessarie per la configurazione del ransomware.
• msgbox.vbs – script che mostra sullo schermo un messaggio pop-up..
• u.vbs – script che elimina file e cartelle in varie directory.

Come si può vedere, JS.Crypto Ransomware aggiunge file che ricordano file legittimi di Google Chrome, ad es. chrome.exe, per non essere identificato e rimosso facilmente. Vogliamo dire anche che JS.Crypto Ransomware aggiungerà ChromeService.lnk alla directory principale (%AppData%\Microsoft\Windows\Start Menu\Programs\Startup) perché si avvii insieme a Windows.

JS.Crypto Ransomware viene diffuso in diversi modi. Gli specialisti hanno scoperto che potrebbe accedere al sistema dopo aver cliccato su un link corrotto o su una pubblicità, aver aperto l’allegato di un’e-mail spam o aver scaricato un programma inaffidabile da una pagina web di terze parti, un sito di torrent o uno di condivisione file. JS.Crypto Ransomware non è decisamente l’unica infezione esistente, per questo vi raccomandiamo vivamente di installare uno strumento di sicurezza affidabile se volete proteggere il vostro sistema da infezioni simili che potrebbero cercare di infiltrarsi all’interno del vostro PC.

Sicuramente non è facile rimuovere JS.Crypto Ransomware manualmente, tuttavia dovete farlo perché questa minaccia potrebbe crittografare anche i nuovi file. Qui sotto vi presentiamo delle istruzioni che vi aiuteranno a sbarazzarvi di questa minaccia manualmente. Nel caso in cui non vi sentite abbastanza esperti da farlo da soli, effettuate una scansione del sistema con il software di scansione antimalware SpyHunter. Sia che rimuoviate JS.Crypto Ransomware da soli o con uno strumento automatico, sfortunatamente non riuscirete lo stesso a decodificare i vostri file.

Rimuovere JS.Crypto Ransomware dal PC

Mostrare i file e le cartelle nascosti

Windows XP

1. Cliccare sul pulsante Start e andare nel Pannello di controllo.
2. Fare doppio clic su Opzioni cartella e aprire la tabella Visualizza.
3. Cliccare sul pulsante accanto a Mostra i file e le cartelle nascosti per attivarlo.
4. Rimuovere la spunta da Nascondi i file del sistema operativo protetti (Raccomandato).
5. Cliccare su Applica.

Windows 7/Vista

1. Cliccare sul pulsante Organizza in qualsiasi cartella e selezionare Opzioni cartella e ricerca.
2. Selezionare Mostra i file e le cartelle nascosti.
3. Rimuovere la spunta da Nascondi i file del sistema operativo protetti (Raccomandato).
4. Cliccare su Applica.

Windows 8/8.1/10

1. Aprire il File Manager.
2. Aprire la tabella Visualizza e cliccare su Opzioni.
3. Selezionare Modifica opzioni cartella e ricerca.
4. Spuntare Mostra i file e le cartelle nascosti.
5. Rimuovere la spunta dalla casella Nascondi i file del sistema operativo protetti (Raccomandato).

Eliminare le directory e i file

1. Aprire il Task Manager (Ctrl+Shift+Esc), aprire la tabella Processi, individuare il processo chrome.exe e terminarlo (cliccare con il tasto destro sopra e selezionare Termina processo) nel caso in cui non è possibile chiudere un messaggio di notifica.
2. Avviare la funzione ESEGUI (tasto Windows + R).
3. Scrivere %AppData%\Chrome Browser nella casella e cliccare su OK.
4. Eliminare questa directory.
5. Eseguire nuovamente ESEGUI e scrivere %AppData%\Microsoft\Windows\Start Menu\Programs\Startup .
6. Cliccare su OK.
7. Trovare e rimuovere ChromeService.lnk.